アカウントとリソースのセキュリティを確保するために、Alibaba Cloud アカウントを使用するのではなく、Resource Access Management (RAM) ユーザーまたはロールとして Cloud Enterprise Network (CEN) にアクセスすることをお勧めします。
RAM ユーザー
RAM ユーザーは、Alibaba Cloud アカウントを使用するか、管理権限を持つ RAM ユーザーと RAM ロールを使用して作成できます。 RAM ユーザーに必要な権限が付与されると、RAM ユーザーは Alibaba Cloud 管理コンソールを使用するか、API オペレーションを呼び出して、RAM ユーザーが属する Alibaba Cloud アカウント内の Alibaba Cloud リソースにアクセスできます。
以下の点にご注意ください。
Alibaba Cloud アカウントを使用して RAM ユーザーを作成し、RAM ユーザーに管理権限を付与します。 その後、RAM ユーザーを使用して他の RAM ユーザーを作成および管理できます。
個人の RAM ユーザーとプログラムの RAM ユーザーを区別します。
RAM ユーザーを作成するときは、[コンソールアクセス]、[永続 Accesskey を使用してアクセス]、または [アクセスモード] パラメーターの両方を使用してアクセスモードを設定できます。
リソースにアクセスするために、コンソールアクセス用に指定された RAM ユーザーは、ユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにログインしますが、AccessKey ペアベースのアクセス用に指定された RAM ユーザーは API 呼び出しを行います。 意図しない操作の影響を防ぐために、個人の RAM ユーザーとプログラムの RAM ユーザーを区別することをお勧めします。 コンソールアクセス用に指定された RAM ユーザーに対して多要素認証 (MFA) を有効にすることをお勧めします。
最小権限の原則に基づいて RAM ユーザーに権限を付与します。
最小権限とは、操作を実行するために必要な最小限の権限です。 最小権限はデータセキュリティを向上させ、権限の乱用を防ぎます。
AccessKey ペアの漏洩を防ぐために、AccessKey ID または AccessKey シークレットをコードに埋め込まないでください。 AccessKey ペアの漏洩は、アカウント内のすべてのリソースにセキュリティリスクをもたらします。 セキュリティトークンサービス (STS) トークンを使用するか、環境変数を設定してアクセス権限を取得することをお勧めします。
該当する場合は、RAM ユーザーに対してシングルサインオン (SSO) を有効にして、RAM ユーザーが企業の ID 管理システムから Alibaba Cloud リソースにログインしてアクセスできるようにします。
関連操作
RAM ユーザーグループ
Alibaba Cloud アカウントを使用して複数の RAM ユーザーを作成する場合は、権限管理を容易にするために RAM ユーザーをグループ化できます。 たとえば、同じ RAM ユーザーグループの RAM ユーザーに同じ権限を付与できます。 以下の点にご注意ください。
最小権限の原則に基づいて RAM ユーザーグループに権限を付与します。
RAM ユーザーの職務が変更された場合は、RAM ユーザーグループから RAM ユーザーを削除します。
RAM ユーザーグループが権限を必要としなくなった場合は、RAM ユーザーグループから権限を取り消します。
関連操作
RAM ロール
RAM ロールは、ポリシーをアタッチできる仮想 ID です。 RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な ID 資格情報がありません。 RAM ロールは、信頼できるエンティティによってロールがアシュームされた後にのみ使用できます。 RAM ロールが信頼できるエンティティによってアシュームされると、信頼できるエンティティはセキュリティトークンサービス (STS) トークンを取得できます。 その後、信頼できるエンティティは STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。
以下の点にご注意ください。
RAM ロールの作成後、RAM ロールの信頼できるエンティティを頻繁に変更しないでください。 RAM ロールの信頼できるエンティティを変更すると、権限が失われ、ビジネスに影響を与える可能性があります。 信頼できるエンティティを追加すると、権限昇格によりセキュリティリスクが発生する可能性があります。 変更を RAM ロールに適用する前に、変更が完全にテストされていることを確認してください。
信頼できるエンティティに権限が付与されると、信頼できるエンティティは AssumeRole オペレーションを呼び出して STS トークンを取得し、それを使用して RAM ロールをアシュームできます。 詳細については、「AssumeRole」をご参照ください。 STS トークンは、限られた期間だけ有効です。 セキュリティリスクを軽減するために、有効期間を適切な値に設定することをお勧めします。
説明STS トークンの最大有効期間は、RAM ロールに指定された最大セッション期間です。 セキュリティリスクを軽減するために、RAM ロールの最大セッション期間を適切な値に設定することをお勧めします。
該当する場合は、RAM ロールに対して SSO を有効にして、RAM ロールが企業の ID 管理システムから Alibaba Cloud リソースにログインしてアクセスできるようにします。